Лабораторная работа 1-B

Кибербезопасность предприятия

Ищенко Ирина

Мишина Анастасия

Дикач Анна

Галацан Николай

Амуничников Антон

Барсегян Вардан

Дудырев Глеб

Дымченко Дмитрий

Российский университет дружбы народов, Москва, Россия

Наша команда

  • НПИбд-01-22
  • Российский университет дружбы народов

Цель тренировки

Разобраться с сценарием действий нарушителя “Защита данных сегмента АСУ ТП”. Выявить и устранить уязвимости и их последствия.

Выявленные уязвимости и последствия

Уязвимости и последствия

Уязвимая версия axis2

Уязвимая версия axis2 установлена на AppServer под управлением Apache Tomcat. В типовом шаблоне информационной системы используется для развертывания веб-сервисов, работает через порт 8080.

Эксплуатируемая уязвимость – CVE-2010-0219. Компонент Axis2 SAP BusinessObjects содержит учетную запись и пароль администратора по умолчанию.

Из конфигурационного файла axis2.xml можно получить данные учетной записи администратора, авторизоваться и загрузить вредоносный сервис для исполнения команды

Описание инцидента

Событие на VipNet IDS NS

Описание инцидента

Добавление инцидента axis2

Решение

Подключение по ssh

Решение

Добавление правила в утилите

Решение

Стартовая страница сервера Apache Tomcat

Решение

Добавление axis2.war

Решение

Нажатие на кнопку

Последствия App Backdoor

Установленная сессия с нарушителем

Последствия App Backdoor

Автозапуск backdoor

Последствия App Backdoor

Отключение автозапуска

Последствия App Backdoor

Удаление исполняемого файла и заверение сессий с машиной нарушителя

Уязвимая версия программы CoolReaderPDF

На хосте Manager Workstation 1 установлена уязвимая версия программы CoolReaderPDF. Хост используется для приема писем по публичной и корпоративной электронной почте. Эксплуатируемая уязвимость – CVE-2012-4914.

Переполнение стека в программе CoolPDFReader позволяет удаленно выполнять код при чтении специально сгенерированного документа. В данном случае сгенерированный документ соединен с некоторым стандартным отчетом. При просмотре последней страницы происходит эксплуатация уязвимости. Уязвимости подвержена программа чтения CoolReaderPDF версии 3.0.2.256, которая позволяет удаленным нарушителям выполнять произвольный код через документ PDF с созданным потоком При просмотре начальной части документа программа работает стандартно. При попытке просмотра седьмой страницы программа не реагирует на команды пользователя («зависает»), нарушитель получает сессию.

Описание инцидента

Событие на VipNet IDS NS

Описание инцидента

Добавление инцидента CoolReaderPDF

Решение

Подключение к Manager Workstation 1

Решение

Ошибка

Решение

Добавленное правило

Решение

Добавленное правило

Последствия Manager meterpreter

Список установленных соединений

Последствия Manager meterpreter

Остановка процесса

Уязвимая версия IGSS

Эксплуатируемая уязвимость – CVE-2011-1567.

Переполнение стека в программе с графическим интерфейсом IGSSdataServer.exe при использовании операции ListAll ведет к удаленному выполнению кода и прямому подключению нарушителя к серверу.

Описание инцидента

Событие на VipNet IDS NS

## Описание инцидента

Добавление инцидента IGSS

Решение

Подключение

Решение

Брандмауэр включён

Решение

Исключения

Последствия IGSS meterpreter

Соединение с машиной нарушителя

Последствия IGSS meterpreter

Остановка процесса

Вывод

Получили навыки настройки VPN-туннеля через незащищённое Интернет соединение.